J’ai récemment conclu une enquête de trois mois qui a débuté par un simple tuyau : un résident de Calgary qui a découvert que ses informations médicales privées avaient été compromises. Ce qui s’est révélé soulève des questions troublantes sur la sécurité des données médicales dans le système de santé albertain.
En novembre dernier, Martin Chen, résidant à Calgary, a reçu un message Facebook inattendu d’une personne qu’il n’avait jamais rencontrée. « Avez-vous une hémochromatose? » demandait le message. Chen était stupéfait. Il souffrait effectivement de ce trouble sanguin génétique, mais n’en avait jamais parlé en ligne.
« Au début, je pensais que c’était une arnaque, » m’a confié Chen lors de notre entretien dans un café du centre-ville de Calgary. « Puis cette personne a mentionné des détails précis sur ma dernière analyse sanguine. C’est là que je me suis vraiment inquiété. »
L’inconnue, Ellie Kowalski, a expliqué qu’elle travaillait dans une clinique médicale et avait remarqué quelqu’un accédant aux dossiers des patients de manière inappropriée. Elle avait repéré les dossiers de Chen consultés par un employé qui n’avait aucune raison légitime d’y accéder.
« Je ne pouvais pas dormir en sachant que quelqu’un violait la vie privée des patients, » a déclaré Kowalski. « Le système montre qui accède à quels dossiers et quand. Cette personne avait consulté des dizaines de dossiers de patients avec lesquels elle n’avait aucune relation professionnelle. »
Après avoir examiné les captures d’écran fournies par Kowalski, j’ai contacté Alberta Health Services et le Commissariat à l’information et à la protection de la vie privée de l’Alberta. AHS a confirmé avoir lancé une enquête interne après avoir reçu des plaintes de Chen et de Kowalski.
Le bureau du Commissaire à la vie privée m’a indiqué avoir constaté une augmentation de 34% des signalements de violations d’informations médicales au cours des deux dernières années. « Les dossiers médicaux numériques créent d’énormes avantages pour les soins aux patients, mais aussi de nouvelles vulnérabilités, » a déclaré la commissaire Jill Clayton lors de notre entretien téléphonique.
La Loi sur les renseignements sur la santé de l’Alberta limite strictement qui peut accéder aux dossiers médicaux et dans quelles circonstances. Les sanctions pour accès non autorisé comprennent des amendes allant jusqu’à 50 000 $ pour les particuliers et d’éventuelles poursuites pénales.
J’ai obtenu des documents judiciaires montrant qu’un cas similaire en 2019 avait abouti à une amende de 5 000 $ pour une technicienne de laboratoire de Calgary qui avait accédé indûment à 11 dossiers. La technicienne a affirmé que la curiosité motivait ses actions – une explication courante dans de tels cas, selon les experts.
Dr. Riyaz Somani, chercheur en sécurité de la santé numérique à l’Université de Calgary, explique que le problème va au-delà des violations individuelles. « La plupart des établissements de santé s’appuient sur ce que nous appelons une sécurité ‘audit après coup’. Nous détectons les violations après qu’elles se sont produites plutôt que de prévenir les accès non autorisés dès le départ. »
J’ai examiné les politiques internes d’Alberta Health Services concernant l’accès aux dossiers médicaux électroniques. Les documents montrent que le personnel reçoit une formation sur la confidentialité et doit signer des accords de confidentialité, mais le système fonctionne largement sur la base de la confiance. Les mesures de protection techniques existent principalement pour suivre les accès plutôt que pour empêcher les consultations inappropriées.
« C’est comme avoir une caméra de sécurité au lieu d’une serrure, » explique Somani. « Vous pouvez voir qui a pris les objets de valeur, mais vous ne les avez pas empêchés de les prendre. »
Pour Chen, cette violation était profondément personnelle. « Mes informations médicales incluent des choses que je n’ai même pas dites à certains membres de ma famille. L’idée que quelqu’un les parcourait simplement est violante. »
L’Association canadienne des libertés civiles a documenté des cas similaires dans plusieurs provinces. Leur rapport de 2021 « La confidentialité médicale à l’ère numérique » a révélé que des professionnels de la santé accédaient indûment aux dossiers de célébrités, vérifiaient ceux de leurs voisins, ou surveillaient même d’anciens partenaires via les systèmes médicaux.
« Ces systèmes contiennent nos détails les plus intimes, » affirme Brenda McPhail, directrice de la protection de la vie privée à l’ACLC. « Les protections actuelles reposent souvent davantage sur des politiques que sur la technologie, ce qui crée des risques inhérents. »
Trois semaines après le début de mon enquête, AHS a confirmé qu’un membre du personnel avait été mis en congé administratif en attendant les résultats de leur enquête. Ils n’ont pas voulu nommer l’individu ni préciser l’établissement qui l’employait, invoquant la confidentialité du personnel.
La clinique où travaille Kowalski utilise Alberta Netcare, le système provincial de dossiers médicaux électroniques qui permet aux prestataires de soins autorisés d’accéder aux informations des patients dans différents établissements. Selon les données provinciales, plus de 50 000 travailleurs de la santé ont un certain niveau d’accès au système.
Après avoir examiné la documentation technique d’Alberta Health, j’ai constaté que le système permet des contrôles d’accès plus restrictifs, notamment des limitations basées sur les rôles qui pourraient empêcher certains employés de consulter des dossiers sans autorisation spécifique. Cependant, ces fonctionnalités ne sont pas universellement mises en œuvre dans tous les établissements.
« Les organisations de santé privilégient souvent l’accès fluide à l’information plutôt que la sécurité, » explique Maya Patel, consultante en cybersécurité spécialisée dans les systèmes de santé. « Dans les situations d’urgence, on ne veut pas que des barrières techniques empêchent les médecins d’obtenir des informations critiques. »
La semaine dernière, James Robinson, porte-parole d’AHS, a fourni une mise à jour sur leur enquête : « Nous pouvons confirmer qu’un accès non autorisé a concerné environ 37 dossiers de patients sur une période de six mois. Nous avons contacté toutes les personnes concernées et mis en place des protocoles de surveillance supplémentaires. »
Cette violation soulève d’importantes questions sur l’équilibre entre accessibilité et sécurité dans les systèmes d’information de santé. À mesure que les dossiers médicaux numériques deviennent de plus en plus interconnectés, l’ampleur potentielle des violations de confidentialité s’accroît.
Pour Kowalski, la dénonciatrice, la décision de se manifester n’a pas été facile. « Je m’inquiétais pour mon emploi, mais les patients nous confient leurs informations les plus personnelles. Cette confiance compte plus que tout. »
Chen a déposé une plainte officielle auprès du Commissaire à la vie privée et envisage des poursuites judiciaires. « Il ne s’agit pas seulement de moi. Il s’agit de s’assurer que les informations médicales de chacun restent privées. »
Je continuerai à suivre cette histoire à mesure que l’enquête progresse et rendrai compte de tout changement de politique résultant de cette violation. Si vous avez rencontré des problèmes similaires concernant la confidentialité de vos informations médicales, vous pouvez me contacter confidentiellement à stremblay@mediawall.news.
